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(57) Abstract: The invention relates to a crypto- 
graphic method secured against a covert channel 
attack. According to the invention, in order to carry 
out a selected block of instructions (?j) as a function 
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number (Lj) of times, the predefined number (Lj) 
being associated with the selected instruction block 
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(57) Abrege : U invention concerne un procedg cryp- 
tographique securise* contre une attaque a canal cache\ 
Selon F invention, pour executer un bloc d* instructions 
choisi (Ilj) en fonction d'une variable d* entree (DO 
parmi N blocs d* instructions precleiinis (II x, , II N ), on 
execute un nombre pr£d6fini (Lj) de fois un bloc com- 
mun ( (k,s)) aux N blocs d* instructions pr6d£finis (II i, 
, II N ), le nombre predefini (Lj) 6tant associe* au bloc 
destructions choisi (Hj). 



A. ..BLOC ^LIzMENTAIRE COMMUN:- COMMON ELEMENTARY BLOCK 

B. ..FIN DE CALCUL?:- END OF CALCULATION? 

C. ..OUI>YES 

D. ..NON:- NO 

E. .. DEBUT 

F. ..FIN 
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PROCEDE CRYPTOSRAPHIQUE PROTEGE CONTRE LES A TTAQUES 

BE TYPE A CANAL CACHE 

L 1 invention concerne un procede cryptographique 
protege contre les attaques de type a canal cache. 
L 1 invention est notamment interessante pour prot^ger des 
algorithmes au cours duquel on execute un bloc 
5 d 1 instructions parmi plusieurs blocs d 1 instructions 
differents en f one t ton d'une variable d ! entree. Un tel 
algorithme est par exemple, mais non limit at ivement> un 
algorithme binaire d 'exponentiation, r^alisant un calcul 
de type B « A D , A, B et D etant des nombres entiers. Un 

10 tel algorithme est par exemple mis en oeuvre dans des 
dispositifs electroniques tels que des cartes a puce. 

Le diagramme de principe d'un tel algorithme est 
represents sur la figure 1. II comprend une premiere 
etape de test de la valeur d'une donnee d 1 entree. En 

15 fonction du resultat du test, on realise ensuite un bloc 
d 1 instructions n 0 ou un bloc d* instructions IIi. 
L 1 algorithme peut ensuite se terminer, ou bien une 
nouvelle etape de test est realisee sur une autre 
variable d'entree. Dans l'exemple d'une operation de type 

20 B = A D , la variable d 1 entree est un bit Di de D et le 
diagramme de la figure 1 est repete successivement pour 
chaque bit de D. 

Les blocs d* instructions n 0 , Tlx comprennent chacun 
un ensemble d f instructions a executer, par exemple des 

25 operations d 1 addition, de multiplication, de mise a jour 
de variable, etc. Le nombre et /ou le type des 
instructions peuvent etre differents d'un bloc 
d 1 instructions n 0 , Tlx k l 1 autre. 

30 De nombreux algorithmes cryptographiques sont bas^s 

sur le diagramme de principe de la figure 1. C f est 
notamment le cas des algorithmes cryptographiques bases 
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sur des calculs d 1 exponentiation du type B = A D , oti A, B 
sont des nombres entiers le plus souvent de grande 
taille, et D un nombre predetermine de M bits. 

Les nombres A, B peuvent correspondre par exemple a 
5 un texte chiffr£ ou a chiffrer, une donn£e signee ou a 
signer, une donnee verifiee ou a verifier, etc. Le nombre 
D peut correspondre a des Pigments de cles, privies ou 
publiques utilisees pour le chiffrage ou le d6chiffrage 
des nombres A, B. 
10 A titre d' exemple des algorithmes tels que 

1 ''algorithms dit "Square-And-Muitiply" , 1 • algorithms dit 
"Right-To-Left binary algorithm", l'algorithme dit " (M, 
M 3 ) algorithm" peuvent etre utilises pour realiser des 
calculs d 1 exponentiation. 

15 

Un utilisateur malveillant peut eventuellement 
engager des attaques, visant a decouvrir notamment des 
informations conf identielles (comme par exemple la cle D 
ou une donnee derivee de cette cle) manipulees dans des 

20 traitements effectues par le dispositif de calcul 
executant une operation d f exponentiation. 

Une attaque simple, dite "timing attack", contre 
l'algorithme de la figure 1 consiste a mesurer le temps 
necessaire au dispositif pour executer un bloc 

25 d 1 instructions entre deux etapes de test. Si les temps 
d f ex£cution des blocs d 1 instructions n 0/ n x sont 
differents, alors il est facile d' identifier un bloc 
d 1 instructions n 0 ou Tl x et d'en deduire la valeur de la 
variable d 1 entree associ^e. 

30 Pour se primunir contre cette attaque, il est 

possible d f ajouter des instructions fictives dans le bloc 
d 1 instructions n 0 ou rii le plus court (un bloc 
d 1 instruction est " le plus court" si le temps mis pour 
le realiser est le plus petit) de sorte a ce que les deux 

35 blocs d 1 instructions n 0 , n x soient de meme dur€e. 
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consideree, selon la valeur de ce bit et / ou selon 
1 1 instruction. 

Les attaques a canaux caches peuvent about ir sur 
5 des algorithmes tels que celui de la figure 1 si les 
blocs d' instructions I"I 0 , Tl x ne sont pas equivalents vis- 
a-vis de ces attaques. 

Le terme "Equivalent" doit etr.e compris ici et dans 
tout ce qui suit de la maniere suivante. Deux 
10 instructions INSTx, INS£ 2 (ou deux blocs d 1 instructions 
n 0 , rii) sont dits. Squivalentes ( on note INST 0 ~ INSTi) 
s'il n'est pas possible de les differencier par une 
attaque a canal cache. C'est le cas notamment si la 
grandeur physique mesuree au cours de l 1 attaque suit la 
15 m§me evolution pour les deux instructions. A noter 
toutefois que deux instructions peuvent §tre Equivalentes 
vis-a-vis d'une attaque a canal cache et ne pas §tre 
equivalentes vis-a-vis d'une autre attaque a canal cach£. 

Dans le meme esprit, on dira que deux instructions 
20 (ou blocs d 1 instructions) sont Sgales si, lorsqu'elles 
sont utilisees avec les memes donn^es d' entree, elles 
produisent des donnees de sortie identiques. 

II est connu de se premunir contre les attaques £ 
25 canaux caches en ajoutant des instructions fictives a 
1 'algorithme. On supposera dans ce qui suit qu'une 
instruction fictive est equivalente a une instruction 
reelle similaire. Par exemple 1 1 instruction i<-i-0 est 
supposee Equivalente a 1 1 instruction i<-i-l. 
30 Dans le cas de 1 1 algorithme de la figure 1 # il est 

ainsi connu de realiser un bloc d 1 instructions 111 fictif 
apres chaque bloc d 1 instructions n 0 , et de realiser de 
maniere symetrique un bloc d 1 instructions n 0 fictif avant 
chaque bloc d 1 instructions 111 (voir les etapes en 
35 pointilles sur la figure 1) . Ainsi, quelle que soit la 
valeur de la donnee d'entrEe, on rEalisera un bloc 
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d 1 instructions n 0 et un bloc d' instructions 111, dans 
I'ordre, I'un ou 1' autre etant f ictif, de sorte qu'il ne 
soit pas possible de predire la valeur de la donnee 
d' entree, les grandeurs physiques relatives a un calcul 
5 etant equivalentes . On note ainsi : 

(n 0 || rii(fictif) ) - (n 0 (f ictif ) n x ) . 
La notation 11 | | " signif ie la realisation successive 
de blocs d' instructions n 0 , IIi, ( ou plus g6n£ralement la 
realisation successive de deux instructions) . 

10 

Si cette solution est efficace coritre les attaques 
a canaux caches, elle presente cependant 1 1 inconvenient 
de multiplier en moyenne par deux le temps d' execution de 
1 1 algorithme . 

15 En effet, dans le cas d'un algorithme non protege 

utilisant M donn^es d' entree (par exemple les M bits 
d'une donnee D) , on realise statistiquement en moyenne 
M/2 blocs d' instructions n 0 et M/2 blocs d 1 instructions 
IIi. Si TO, respect ivement Tl sont les temps moyens 

20 d 1 execution d'un bloc d' instructions n 0 , respect ivement 
IIi, alors le temps moyen d' execution de 1' algorithme non 
protege est egal a M* (TO + Tl) / 2. 

Par contre, dans le cas de 1 1 algorithme prot£g§ par 
des blocs d ' instructions n 0 , U x f ictif s, on realise 

25 systematiquement un bloc d 1 instructions n 0 et un bloc 
d f instructions IIi pour chacune des M donn^es d' entree. En 
consequence, le temps moyen d 1 execution de 1' algorithme 
protege par des blocs d 1 instructions f ictif s est egal k 
M* (TO + Tl) . 

30 

Un premier but de 1' invention est de proposer un 
nouvel algorithme cryptographique s£curis6 contre les 
attaques a canaux caches. Un deuxieme but de l 1 invention 
est un proced£ cryptographique proteg6 et plus rapide que 
35 les algorithmes proteges existants. 
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Ce but est atteint par un procede de calcul 
cryptographique selon 1' invent ion, caracterise en ce que, 
pour executer un bloc d 1 instructions choisi (Ilj) en 
fonction d'une variable d' entree (Di) parmi N blocs 
5 d' instructions pr£definis {Tl lf n N ) , on execute un 

nombre predefini (Lj) de fois un bloc commun (r(k,s)) aux 
N blocs d' instructions predefinis '(Ili, n N ) , le nombre 

predefini (Lj) Stant associe au bloc d 1 instructions choisi 

(rij) . 

10 En d'autres termes, selon 1 1 invention, on realise 

un seul bloc elementaire, le bloc Elementaire commun, 
quelle que soit la variable d' entree. Le bloc 616mentaire 
commun est execute un nombre predefini de fois, selon la 
variable d ! entree. Contrairement aux proc^des connus, on 
15 n 1 execute pas des blocs d 1 instructions differents en 
fonction de la variable d 1 entree. 

Ainsi, avec 1 'invention, II n'est alors pas 
possible de determiner par une attaque a canal cach£ quel 
bloc d' instructions est execute. Un procede selon 
20 l 1 invention est done bien prot£g£. 

Le nombre predefini (Lj) est variable d'un bloc 
d 1 instructions predefini {TL lt n N ) a 1" autre. 

Le bloc commun (r(k,s)) comprend de preference au 
moins une instruction de calcul (y(k,s)) equivalente vis- 
25 a-vis d f une attaque a canal cache a une instruction de 
calcul de chaque bloc predefini (IIi, n N ) . 

Le bloc commun (r(k,s)) peut Sgalement comprendre 
une instruction de mise a jour d'un pointeur de boucle 
(k) indiquant un nombre d 1 executions dejiL executees du 
30 bloc commun (T(k,s)). 

Si necessaire, le bloc commun (r(k,s)) peut 
comprendre en complement une instruction de mise a jour 
d'un pointeur d'etat (s) indiquant si le nombre predefini 
(Lj) a 6te atteint. 
35 La valeur du pointeur de boucle (k) et / ou la 

valeur du pointeur d'etat (s) sont fonction de la valeur 
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de la variable d' entree (Di) et / ou du nombre 
d f instructions du bloc d' instructions (Ilj) associS a la 
valeur de la variable d' entree. 

De preference, si plusieurs blocs communs sont 
5 possibles, le bloc commun est choisi minimal, en ce sens 
qu'il comprend un nombre d' instructions minimal et / ou 
qu'il s'effectue en un temps minimal. 

De preference encore, pour realiser successivement 
plusieurs blocs d 'instructions choisis parmi les N blocs 
d' instructions pr^definis (111, n N ) , chaque bloc 

d' instruction choisi etant selectionne en fonction d'une 
variable d' entree (Di) associee a un indice d' entree (i) , 

on execute un nombre total (Lt) de fois le bloc 
commun (r(k,s)), le nombre total (Lr) etant £gal a une 
somme des nombres predefinis (Lj) associes a chaque bloc 
d 1 instructions choisi (Ilj) . 

La encore, pour executer successivement plusieurs 
blocs d' instructions, on execute seulement le bloc commun 
un nombre approprie de fois ; ceci quels que soient les 
blocs d 1 instructions a executer. II n'est done pas 
possible de predire a quel bloc d 1 instructions est 
associe le bloc commun en cours d 1 execution. Une attaque 
li canal cache ne peut done pas about ir. 

A noter qu*un meme bloc d 1 instructions (Elj) peut 
etre choisi plusieurs fois selon la variable d 1 entree 
associee (Di) a 1 1 indice d ! entree (i) . 

Selon un mode de realisation de 1' invention, une ou 
30 plusieurs relations mathematiques sont utilises pour 
mettre S jour le pointeur de boucle et / ou le pointeur 
d'etat et / ou des indices de registres utilises pour la 
mise en oeuvre du procede crypt ographique et / ou la ou 
les variables d 1 entries. Selon un autre mode de 
35 realisation de l f invention, la mise a jour se fait en 
utilisant une table & plusieurs entrees. Ces modes de 
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realisation seront detailles plus longuement par la suite 
a l'aide d'exemples pratiques. 

L 1 invention concerne Egalement un procedE 
5 d'obtention d'un bloc commun (r(k,s)) a N blocs 
d' instructions (Eli, n N ) prEdEfinis. Ledit procede est 

susceptible d'etre utilise pour la mise en oeuvre d'un 
procedE de calcul cryptographique securise selon 
1' invention et tel que celui decrit ci-dessus. 

10 Selon 1' invention, on obtient un bloc commun 

, (r(k, s)) en realisant les etapes suivantes : 

El : decomposition de chaque bloc d' instructions 
prEdEfini (YI Xt I1 N ) en une suite de blocs ElEmentaires 

(y) equivalents vis-a-vis d'une attaque a canal cache, et 

15 classement de l f ensemble des blocs ElEmentaires (par 
exemple par attribution d'un rang) , 

E2 : recherche d f un bloc ElEmentaire commun (y(k,s)) 
equivalent a tous les blocs Elementaires (y) de tous les 
blocs d 1 instructions prEdEfinis, 

20 E3 : recherche d'un bloc commun (T(k,s)) comprenant 

au moins le bloc ElEmentaire commun (y(k,s)) prEcEdemment 
obtenu lors de 1 ' etape E2 et une instruction de mise k 
jour d'un pointeur de boucle (k) telle que une execution 
du bloc elementaire commun associee a la valeur du 

25 pointeur de boucle (k) et une execution du bloc 
Elementaire de rang egal a la valeur du pointeur de 
boucle (k) soient identiques. 

Si nEcessaire, au cours de 1' etape El, une ou des 
instructions fictives peuvent etre ajoutees a la sErie 

30 des instructions d'un ou plusieurs blocs d' instructions . 
Ceci peut faciliter la decomposition de chaque blocs 
d 1 instructions en des blocs Elementaires tous equivalents 
vis-a-vis d'une attaque a canal cache. 

35 Au cours de l f etape El, on decoupe chaque bloc 

d' instructions prEdEfinis 111 £ n N en blocs ElEmentaires 
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equivalents vis-a-vis d'une attaque donnee ; les blocs 
elementaires sont classes. Par exemple : 

nx = yl | | Y2 | | y3 ; n 2 = y4 | | y5 ; ... 
Plus generalement , chaque bloc d 1 instructions III, 
5 n N se decompose ainsi : 

n x = y(d) | | ... | | YtCi+Ii! -1) , 
n 2 = y(c 2 ) | | ... | I y(c 2 +L 2 -i) , 



10 



nj = y(cj) I I ... M yCcj+Lj-i) , 

n N = y(c N ) I I ... I I y<c n +Ln-1) 
avec Ci = 0 



C 2 = Li 

15 Cj = Li+L 2 + ... + Lj-i 

Cn = l»i+ — Ln-i 
Lj est le nombre de blocs elementaires n^cessaires 
pour decomposer completement le bloc predgfini 
20 d 1 instructions Tlj . 

Au cours de l'etape E2 , on recherche un bloc 
elementaire commun y tel que chaque bloc d 1 instructions Tlj 
(1 < j < N) peut etre exprime sous forme d'une repetition 
Lj fois du bloc Elementaire commun y. 
25 De preference, le bloc commun est choisi minimal. 

En d'autres termes, il comprend un nombre minimum 
d 1 instructions et / ou il s 1 execute en un temps minimal. 

Au cours de l'etape E3, on recherche un bloc commun 
comprenant : 

30 - un ou plusieurs blocs elementaires communs 

obtenus lors de 1 1 etape E2 , et 

- une instruction de mise k jour d'un pointeur de 

boucle (k) tel que une execution du bloc elementaire 

commun associee a la valeur du pointeur de boucle (k) et 
35 une execution du bloc elementaire de rang egal a la 

valeur du pointeur de boucle (k) soient identiques. 
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Si necessaire, un pointeur d'etat s peut egalement 
etre utilise en complement du pointeur de boucle : 

le pointeur d'etat s indique si le bloc 
elementaire commun a deja ete execute un nombre predefini 

5 de fois correspondant au nombre Lj de blocs elementaires 
d6composant un bloc d 1 instructions llj donne ; dans un 
exemple, le pointeur d'etat s est egal a 1 lorsque le 
nombre predefini Lj de blocs elementaires a ete execute, 
et il est egal a 0 sinon. 

10 - le pointeur de boucle indique le rang du bloc 

elementaire a executer parmi 1' ensemble' des blocs 
elementaires. De maniere tres generale, le pointeur de 
boucle peut etre defini dans tous les cas selon 
1' equation 1 suivante : 

15 k <- (/s) . (k+1) + s.f (Di) 

Di est la variable d' entree permettant de 
select ionner un bloc d' instructions a executer, s est le 
pointeur d'etat, et f est une fonction logique de la 
variable d' entree Di associee & un bloc d' instructions 
20 predefini II) a executer, et /s est le complement du 
pointeur s (fonction NON logique) . 

L' equation ci-dessus dormant la valeur de k est 
obtenue par le raisonnement suivant . 

Lorsqu'on realise un bloc d' instructions llj, le 
25 pointeur de boucle k doit etre increments de 1 a chaque 
execution du bloc elementaire commun (associee a un bloc 
elementaire equivalent de la decomposition du bloc llj) 
tant que s = 0, c'est-a-dire tant que le nombre de blocs 
elementaires associes au bloc llj n'a pas ete atteint. 
30 Ceci se traduit par 1 ' instruction : 

k <- (k+1) lorsque s = 0 
Inversement, lorsqu'on realise le bloc ilementaire 
commun associe au dernier bloc elementaire du bloc llj 
(c'est-a-dire lorsque s = 1) , il est necessaire de 
35 modifier k de sorte a realiser le bloc elementaire commun 
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associe au premier bloc £l£mentaire du bloc 
d 1 instructions suivant Ilj.. Ceci se traduit par 
1 1 instruction suivante : 

k <- f (Di) lorsque s = 1 
5 oil Di est la variable d f entree qui conditionne le 

choix du calcul Ilj. a realiser. 

En cotnbinant les deux dernieres instructions, on 
obtient finalement l 1 equation 1. 

L ' equation ci-dessus donnant la valeur de k en 
10 f onction de s est valable dans tous les cas. Dans 
certains cas particuliers, cette equation peut etre 
modifiee comme on le verra mieux plus loin dans des 
exemples pratiques. 

15 L ' invention et les avantages qui en decoulent 

apparaitront plus clairement a la lecture de la 
description qui suit d' exemples de mise en oeuvre d'un 
proc^de cryptographique securise selon 1' invention. La 
description est a lire en reference aux dessins annexes 

20 dans lesquels : 

la figure 1 est un diagramme g6n6rique de 
procedes connus et susceptibles d'etre proteges selon 
1 1 invention, 

- la figure 2 est un diagramme du procede g^nerique 
25 de la figure 1 protege selon 1 1 invention, 

- les figures 3 et 4 d^taillent la realisation de 
certaines etapes du procedg de la figure 2 dans le cas de 
procedes d 1 exponentiation connus, proteges selon 
1 1 invention. 



30 



Dans les exemples qui suivent, on va decrire 
notamment l'obtention d'un bloc el6mentaire commun selon 
1» invent ion et 1 'utilisation de ce bloc 61£mentaire, dans 
les cas pratiques de procedes de calcul cryptographique. 



35 
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Exemple 1 

Dans un premier exemple pratique, on considere un 
algorithme d 1 exponentiation de type "Square-and- 
Multiply" , qui permet de realiser une operation 
5 d 1 exponentiation de type B = A D , oil D = (Dm-i, D 0 ) est 

un nombre de M bits. La forme connue de cet algorithme 
peut Stre representee comme suit : 

Initialisation : 

R 0 <- 1 ; Ri <- A ; i <- M-l 
Tant que i 2: 0, repeter : 

Si Di = 1, alors realiser n 0 : 
Ro <- RoxRo 
Ro <- RoxRi 
i <- i-1 
Si Di = 0, alors realiser 111 : 
R 0 <- RoxRo 
i <- i-1 
Retourner R 0 . 
Algorithme 1 "Square-and-Multiply" non-prot6ge 

Ro# Ri sont des registres d'un dispositif de calcul 
adapte pour la mise en oeuvre de 1 1 algorithme, et i est un 
indice de boucle reperant les differents bits de D. Selon 
25 la valeur de Di, on execute Ilj = n 0 ou Ilj =11].. 

Dans 1' algorithme 1, les blocs d' instructions n 0 , 111 
sont realises selon la valeur d'un bit Di de l'exposant D, 
et on decremente 1 • indice de boucle i a la fin de chaque 
bloc d f instructions n 0 , rii de sorte a traiter 
30 successivement tous les bits Di de D. 

Dans 1' algorithme 1, les bloc d 1 instructions n 0 , rii 
ne sont pas equivalents vis-a-vis d'une attaque £ canal 
cache, notamment parce ce que le nombre d 1 instructions de 
n 0 est different du nombre d' instructions de 111. 



10 



15 



20 
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Pour proteger 1* algorithme 1 selon 1 1 invention, on 
recherche un bloc elementaire commun T susceptible d'etre 
utilise pour 1 'execution des blocs n 0 , IIi. 

Pour cela, on decompose tout d'abord chaque bloc 
5 d' instructions n 0 , IIi en une suite de blocs elementaires, 
tous equivalents entre eux vis-a-vis d'une attaque 
donnee . 



Le bloc d' instructions n 0 peut s'ecrire : 

10 R 0 <- R 0 xR 0 

• i <- i-0 

Ro <- RoxRi 
i <- i-1 

L 1 instruction i <- i-0 est fictive : elle ne 
15 modifie aucune variable, aucune donnee manipulee par 
1' algorithme 1. 

n 0 peut alors se decomposer en deux blocs 
Elementaires : n 0 = y0 | | yl avec 

yO : R 0 <- RoxRo 
20 i <- i-0 

yl : R 0 <- RoxRi 
i <- i-1 

Eli se decompose de la meme fagon en un bloc 
elementaire : 
25 rii = y2 avec 

y2 : R 0 <- RoxRo 
i <- i-1 

On note que les blocs y0, yl # y2 sont tous 
equivalents (yO - yl - y2) vis a vis d'une attaque a canal 
30 cache si on suppose que les instructions R 0 <- Ro*Ro et 
R 0 <- RoxRi sont Equivalentes et que les instructions 
i <- i-0 et i <- i-1 sont £quivalentes . 

On a ainsi decompose chaque bloc d 1 instructions n 0 , 
Eli en un nombre variable (d*un bloc d 1 instructions a 
35 l f autre) de blocs elementaires, tous Equivalents les uns 
aux autres . 
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On definit ensuite un pointeur d'etat s et un 
pointeur de rang k. Lorsqu f un bloc d 1 instructions Ilj est 
en cours d 1 execution : 

k est utilise pour indiquer quel bloc 
5 elementaire yk doit etre realise ; la valeur de k depend 
notamment du bloc rij en cours d* execution (et done de la 
variable d' entree Di testee) et de I'Stat d ' avancement de 
I 1 execution du bloc rij 

- s est utilise pour indiquer si au moins un 
10 bloc 616mentaire yk doit etre encore Stre realise ou si le 
bloc yk en cours est le dernier du bloc d 1 instructions Oj . 

Dans le cas de l'exemple ci-dessus relatif a 
l'algorithme 1, on peut resumer devolution des pointeurs 
k, s par le tableau ci-dessous. 

15 





k 


s 


(Di = 


1) 


y0 


: R 0 <- 


R 0 xR 0 ; 


i 


<- i-0 


0 


0 






yl 


: Ro <- 


R 0 xRi ; 


i 


<- i-1 


1 


1 


(Di = 


0) 


y2 


: Ro <- 


RoxRo ; 


i 


<- i-1 


2 


1 



tableau 1 



s peut etre calcule k partir de k : si le bloc 

elementaire yk qui doit etre realise est le dernier bloc 

20 elementaire d f un bloc II, alors s = 1, sinon s = 0. 

Dans le cas de l'algorithme 1, on peut par exemple 
calculer s par la relation suivante : 

s = (k mod 2) + (k div 2) (EQ a) 

"div" designe une division entiere et "mod" une 
25 reduction modulaire. A partir de 1' equation 1, on 
retrouve les differentes valeurs de s en fonction de k 
(cf tableau 1) . 

La mise & jour de k peut etre obtenue a partir de s 
et de Di, Di etant representatif du bloc Ilj en cours : 
30 - si s = 0 (bloc Ilj en cours de realisation) , k 

est increments de 1 a chaque realisation d'un bloc 
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Elementaire y , pour effectuer ensuite le bloc 6l6mentaire 
y suivant . 

- si s = I, le bloc n en cours est termin6e et 
le bloc 61£mentaire y suivant a effectuer est le premier 
5 bloc elementaire du prochain bloc Flj a ex^cuter ; k 
depend done de D±. 

De ce qui precede, on en deduit que k peut etre 
obtenu par la relation suivante : 

k <- (/s)x(k+l) + sxf(Di) (EQ b) 

10 /s est la valeur . complement aire de s (fonction NON 

logique) , et f est une fonction logique de Di, qui depend 
de 1' algorithme a proteger (voir aussi figure 3). 

Dans le cas de 1 • algorithme 1, on peut par exemple 
choisir f (D ± ) = 2x(/D ± ) 

15 Ainsi, avec l'equation 3 : 

k <- (/s)x(k+l) + sx2x(/Di) # (EQ c) 

on retrouve les diff^rentes valeurs de k en 
fonction de s et de Di (cf tableau 1) . 

On definit finalement un bloc elementaire commun 
20 y(k, s) , equivalent aux blocs elementaires y0, yl, y2 et 
tel que y(0, 0) = y0, y(l, 1) = yl et y(2, 1) = y2 . 

Pour 1' algorithme 1, on peut par exemple choisir : 

y(k, S) : Ro <" RoXRk mod 2 

25 i <- i - s 

En utilisant le bloc elementaire commun y(k, s) , 

1" algorithme 1 peut finalement s'ecrire (voir aussi 
figure 3) : 



30 Initialisation : 

R 0 <- 1 ; Ri <- A ; i <- M-l 
Tant que i > 0, r6p£ter le bloc commun r(k, s) : 
k <- (/s)x(k+l) + sx2x(/Di) 
s <- (k mod 2) + (k div 2) 
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Y(k,s) : R 0 <- RoxRk mod 2 
i <- i - s 

Retourner R 0 . 

Algorithme 1 ptotege 
5 (algorithme "Square-And-Multiply" protege) 

Dans cet algorithme, un seul bloc commun r(k, s) 
est utilise, quelles que soient les valeurs de D ± . Dit 
autrement, quelle que soit la valeur de Di, on execute la 

10 meme instruction ou le meme bloc d 1 instructions • Dans le 
cas oCt Di = 0, on execute une seule fois le bloc T(k f s) . 
Dans le cas ou Di = 1, on execute successivement deux fois 
le bloc commun r(k, s) . 

Quelles que soient les valeurs des pointeurs k, s 

15 et quelle que soit la valeur de Di, le bloc r(k, s) 
associe est equivalent, vis-a-vis d'une attaque a canal 
cache, au bloc T(k, s) prec£demment execute et au bloc 
T(k, s) execute ensuite. En consequence, il n'est pas 
possible de les distinguer les uns des autres, et il 

20 n'est pas possible de savoir k quel bloc d 1 instructions 
Elj correspond le bloc commun T(k, s) en cours 
d 1 execution. 

A noter, que par rapport a 1' algorithme 1 non 
protege, l f algorithme 1 protege selon 1 1 invention utilise 

25 le meme nombre d' instructions de calcul (telles que des 
instructions de multiplication par exemple) pour aboutir 
au meme resultat final. L 1 algorithme 1 protege selon 
l 1 invention comprend simplement des etapes 

supplement a ires de mise a jour de pointeurs : de telles 

30 etapes sont beaucoup plus rapides et beaucoup moins 
consommatrices de ressources qu'une instruction de calcul 
telle qu'une multiplication. En consequence, le temps 
d 1 execution de 1' algorithme protege est quasiment le m§me 
que celui de l 1 algorithme 1 non protege : Tex = 1.5*M*T0, 

35 TO 6tant le temps d 1 execution d'une multiplication. 
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A noter egalement que le bloc commun r(k, s) n'est 
pas unique pour un m§me algorithme, comme on va le voir 
avec 1 1 exemple 2 . 

5 Exemple 2 

Dans le cas de 1 1 algorithme "Square and Multiply 11 , 
d'autres decompositions du bloc d' instructions n 0 peuvent 
etre envisagees, par exemple : 
n 0 = Y f 0 | | y'l avec 
10 Y'O : R 0 <- RoxRo 

i <- i-1 

y'l : R 0 <- RoxRi 
i <- i-0 

Cette decomposition est envisageable dans la mesure 
15 o€L 1 1 instruction fictive i <- i-0 peut etre execut^e a 
tout instant au cours du bloc n 0 . On constate dds lors 
que les blocs elementaires y'O et y2 sont identiques. Le 
tableau 1 est alors modifie alors de la maniere suivante. 





k 


s 


(Di = 


1) 


y ' 0 


: R 0 <- 


R 0 xR 0 ; 


i <- 


i-1 


0 


0 






y'l 


: R 0 <- 


R 0 xRi ; 


i < - 


i-0 


1 


1 


(Di = 


0) 


y> o 


: Ro <- 


R 0 xR 0 ; 


i < - 


i-1 


0 


1 



20 tableau 2 

Le pointeur s devient ici superflu dans la mesure 
oil seules deux blocs elementaires sont possibles y'O et 
y'l. On obtient finalement le bloc elementaire commun 
25 y f (k, s) et 1* algorithme protege suivant (voir aussi 
figure 4) : 



Initialisation : 

R 0 <- 1 ; Ri < - A ; i <- M-l; k <- 1 
30 Tant que i £ 0 # repeter le bloc commun r'(k,s) : 

k <- (Di) ET (/k) 
y» (s # k) : R 0 <- RoxRk 
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i <- i - (/k) 

Retourner Ro- 

Algorithme 2 protege 
(alQorithme » Square -And-Multiply" protege, 2 6me version) 

5 

Exemple 3 

L 1 algorithme d' exponentiation dit "Right-To-Left 
binary algorithm" est assez similaire a 1' algorithme 
"Square-And Multiply". II permet de realiser une 
10 operation de type B = A D en partant du bit le plus faible 
de D de la maniere suivante : 

Initialisation : 

Ro <- 1 ; Ri <- A ; i <- 0 
15 Tant que i < M-l, rep^ter : 

Si Di = 1, alors realiser le bloc n 0 : 
R 0 <- R 0 xR x 
Ri <- RixRi 
i <- i + 1 

20 Si Di = 0, alors realiser le bloc U x : 

Ri <- RixRi 
i <- i+1 

Retourner R 0 . 
Algorithme dit "Right-To-Left binary algorithm" 

25 

Les blocs n 0 , rii dans cet exemple peuvent se 
decomposer de la maniere suivante : 





k 


s 


n 0 


(Di = 


i) 


y0 


: Ro <- 


R 0 xRi ; 


i < - 


i+0 


0 


0 








yl 


: Rx <- 


RixRi ; 


i < - 


i+1 


1 


1 




(Di = 


0) 


y0 


: Ri <- 


RixRx ; 


i < - 


i+1 


2 


1 



tableau 3 

30 

Ici £galement, comme seuls deux blocs elementaires 
y0, yl sont utilises pour decomposer n 0 , fli, le pointeur s 
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est inutile. On peut par exemple choisir le bloc 
elementaire commun y(k) suivant : 
Y(k) : Rk <- RkXRi 

i <- i+k 

5 et mettre a jour le pointeur k avant chaque 

realisation du bloc y(k) en utilisant 1 ' instruction 
k <- k 0 D if oil © designe l«operateur OU-Exclusif (©). On 
obtient finalement 1 ' algorithme 3 protege ci-dessous -. 

10 initialisation : 

R 0 <- 1 ; Ri <- A ; i <- 0 ; k <- 1 
Tant que i < M-l, repeter le bloc T(k, s) : 
k <- k © Di 

y(k) : Rk <- RkxRi 

15 i <" i+k 

Retourner R 0 . 

Algorithme 3 
("Right-To-Left binary algorithm" protege) 

20 Les exemples ci-dessus decrivent des algorithmes au 

cours desquels on execute seulement deux blocs 
d' instructions n 0 ou Eli en fonction de la valeur d'une 
variable d' entree D ± . L' invention peut cependant 
s'appliquer a des algorithmes utilisant plus de deux 

25 blocs d' instructions EL 



30 



Exemple 4 

On considere dans cet exemple 1' algorithme dit " (M, 
M 3 ) algorithm", connu sous la forme suivante : 

Initialisation : 

R 0 <- 1 ; Ri <- A ; R 2 <- A 3 ; 



D-i <- 0 ; i <- M-l 
Tant que i > 0, repeter : 
35 si Di = 0, r^aliser n 0 : 

Ro <- (Ro) 2 
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ET est la fonction ET logique. R 0 # Ri/ R2 sont des 
15 registres du dispositif utilise pour la mise en ceuvre de 
1 'algorithme. 

En remplagant les carr^s de type (R 0 ) 2 par des 
multiplications de type R 0 xR 0 , et en introduisant des 
instructions fictives de type i <- i-0, on peut 
20 decomposer 1« algorithme (M, M 3 ) selon le tableau : 





k 


s 


n 0 


(Di 


= 0) 






yO : 


Ro 


< - 


R 0 xR 0 J 


i 


< - 


i-1 


0 


1 


n x 


(Di 


= 1) et 


(Di-i 


= 0) 


yl : 


Ro 


< - 


R 0 xRo ; 


i 


<- 


i-0 


1 


0 












y2 ■ 


: Ro 


< - 


RoxRi 1 


■ i 


< - 


i-1 


2 


1 


n 2 


(Di 


= 1) et 


(Di-! 


= 1) 


y3 


: Ro 


< - 


R 0 xR 0 , 


? i 


< - 


i-0 


3 


0 












y4 


: Ro 


< - 


RoxRo , 


; i 


< - 


i-0 


4 


0 












y5 


: Ro 


< - 


RoxR 2 


; i 


< - 


i-2 


5 


1 



tableau 4 

Le tableau 4 permet de calculer assez aisement la 
25 valeur du pointeur k en fonction de s et de Di, et ainsi 
que la valeur du pointeur s en fonction de k, comme 
precedemment . Par ailleurs, les blocs y0 a y5 sont tous 
equivalents vis-&-vis d f une attaque k canal cach6 # et on 



i <- i-1 
Si Di = 1 ET (Di-i = 0) , realiser 111 

Ro <- (Ro) 2 
Ro <- RoxRi 
i <- i-1 
Si Di = 1 ET (Di^ = 1) , realiser n 2 

Ro <- (Ro) 2 
Ro <- (Ro) 2 
Ro <- R0XR2 
i <- i-2 

Retourner R 0v 

Algorithme dit " (M, M 3 ) algorithm" 
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peut par exemple choisir le bloc elementaire commun 
y(k, s) suivant : 

y(k, s) : Ro <- RoxRsx<k div 2) 

i <- i - sx(k mod 2 + 1) 
5 On en deduit finalement un algorithme 4 protege : 

Initialisation : 

R 0 <- 1 ; Ri <- A ; R 2 <- A 3 ; 
D-i <- 0 ; i <- M-l ; s <- 1 
10 Tant que i > 0, rep^ter le bloc T(k, s) : 

k <_ (/ S )x(k+1) + sx(Di + 2x(Di ET Di-i) ) 
s <- /((k mod 2) © (k div 4)) 

y(k,s) : Ro <- Ro*Rsx(k div 2) 

i <- i - sx(k mod 2+1) 

15 Retourner R 0 . 

Algorithme 4 
(algorithme (M, M 3 ) protege, l dre version) 

Exemple 5 

20 Comme on l'a vu dans le cadre des exemples 1 et 2, 

pour un m§me algorithme, il est possible de choisir entre 
plusieurs blocs £lementaires communs y(k) ou y(k, s) . 

Dans le cas de 1" algorithme (M, M 3 ) par exemple, il 
est egalement possible de decomposer les blocs n 0 , 111, II2 

25 de la maniere suivante : 





k 


s 


n 0 


(Di = 0) 






y0 : 


Ro < - 


R 0 xRo ; 


i 


< - 


i-1 


0 


1 




(Di = 1) et 


(Di-i = 


0) 


yl : 


Ro <- 


RoxRo 1 


i 


< - 


i-0 


0 


0 










y2 • 


R 0 < - 


R 0 xRi j 


• i 


< - 


i-1 


1 


1 


n 2 


(Di = 1) et 


(Di-! = 


1) 


y3 


: R 0 <- 


R 0 xR 0 « 


• i 


< - 


i-0 


0 


0 










y4 


: Ro <- 


RoxRo 1 


• i 


< - 


i-0 


1 


0 










y5 


: R 0 <- 


RoxR 2 , 


f i 


< - 


i-2 


2 


1 










tableau 


5 













Par rapport au tableau 4, seules les valeurs de k 
ont ete modifiees. 
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Le tableau 5 permet de calculer, comme 
prgcedemment, la valeur du pointeur k en fonction de s et 
de D i# la valeur du pointeur s en fonction de k, et la 
valeur dont doit §tre decrements l'indice i. Par 
ailleurs, on peut par exemple choisir le bloc elementaire 
commun y(k, s) suivant : 

y(k, S) : Ro <~ RoxRkxe 

i <- i - kxs - (/Di) 
On en d^duit finalement un algorithme 5 prot£g§ : 



* Initialisation : 

R 0 <- 1 ; Ri <- A ; R 2 <- A 3 ; 
D-i <- 0 ; i <- M-l ; s <- 1 
Tant que i > 0, repSter : 
15 k <- </s)x(k+l) 

s <- s 0 Di 0 ((Di-i ET (k mod 2)) 
T(k,s) : R 0 <- RoxRkxs 

i <- i - kxs - (/Di) 

Retourner R 0 . 
20 Algorithme 5 

(algorithme (M, M 3 ) protege, 2 dme version) 

Comme on a pu le voir dans les exemples precedents, 
il est assez simple d'obtenir, dans le cadre de 

25 l 1 invention, une decomposition de chaque bloc Ilj 
d 1 instructions en blocs elementaires yo, Yi/ YLj • 

Cependant, les relations liant le pointeur de 
boucle k, le pointeur d'etat s a la variable Di et / ou I 
la variable j indexant les differents blocs Ylo, Ilj, n N 

30 deviennent complexes lorsque 1 ' algorithme qu'on cherche £ 
prot^ger est lui-meme complexe (c 1 est-a-dire lorsqu'il 
utilise un nombre important de blocs Ilj differents, 
lorsque chaque bloc Oj se decompose en un nombre 
important de blocs Elementaires y, etc.). Pour certains 

35 algorithmes particulidrement complexes tels que les 
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algorithmes cryptographiques sur courbe elliptique, cette 
difficulty peut meme s'averer lourde voire insurmontable . 

Pour resoudre ou contourner cette difficult^, selori 
5 un autre mode de realisation de 1 1 invention, les liens 
entre les valeurs du pointeur de boucle k, du pointeur 
d'etat s, de 1 ■ indexe des registres utilises, de 1 • indexe 
i de la variable D, de 1 ' indexe j des blocs rij, etc. sont 
exprimes sous la forme d'une table U a plusieurs entries 
10 comme on va le voir dans les exemples ci-dessous. 

Dans la mise en aeuvre pratique de 1" invention, la 
dite table U pourra etre par exemple memorisee dans une 
memoire, eff arable ou non, du dispositif utilise. La mise 
a jour des pointeurs se fera alors par une lecture dans 
15 la memoire d'une ou plusieurs valeurs dans la matrice U. 

Exemple 6 

On considere a nouveau la decomposition en blocs 
elementaires de l'algorithme "Square and Multiply" : 





k 


s 


(Di = 


1) 


yO : 


R 0 < - 


R 0 xR 0 ; 


i < - 


i-0 


0 


0 






yl : 


R 0 <- 


R 0 xRi ; 


i <- 


i-1 


1 


1 


(Di = 


0) 


y2 : 


Ro < - 


R 0 xR 0 ; 


i <- 


i-1 


2 


1 



tableau 6 = tableau 2 



A chaque ligne du tableau 6 correspond une valeur 
diff^rente de k. On peut ecrire chaque bloc el^mentaire Yk 
25 sous la forme suivante : 

Yk = [Ru(k,o) <- Ru<k,i)xRu<k,2) ; i <- i - U(k,3)] 
ou U(k,l) est 1' element de la ligne k et de la 
colonne 1 de la matrice suivante : 



foe i)>^k^2 



^0 0 0 0^ 
0 0 11 
0 0 0 1 
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La matrice U est construite de la maniere suivante. 
Chaque ligne de la matrice correspond a un bloc 
elementaire yk d' indice k. A chaque colonne est associe un 
indice susceptible de varier d'un bloc elementaire yk a 
5 l 1 autre. Ici, la colonne 0 est associee a 1 1 indice du 
registre dans lequel est memorise le r^sultat de 
1 1 instruction Ra <- Ra*Rp P sont g 9 aux a 0 ou 1 ici). 

La colonne 1 et la colonne 2 sont associees aux indices 
des registres dont on ef f ectue le produit par 
10 1' instruction Ra <- Ra*Rp- Enfin, la colonne 3 est 
associee aux variations, de 1 1 index i. La matrice U 
s'obtient ainsi tres . simplement a partir du tableau 
recapitulant la decomposition des blocs Ilj en blocs 
elementaires yk. 

15 Les colonnes constantes de la matrice etant sans 

interet, elles peuvent etre supprim£es pour dormer une 
matrice reduite, plus facile a memoriser et a utiliser. 
On obtient ainsi le bloc elementaire commun y(k) : 
y(k) = [R 0 <- RoxRu(k # o) i <- i - U(k,l)] 

20 avec, pour 0<k<2et0<l<l : 



(U(k # l)))^2 = 



1 1 

v° 1 



On en d^duit finalement l'algorithme complet 
protege selon 1' invention 

Initialisation : 
25 Ro <" 1 ; R i <- A ; i <- M-l ; s <- 1 

Tant que i > 0, repeter le bloc T(k, s) : 
k <- (/s)x(k+l) + sx2x(/Di) 
s <- U(k,l) 

y(k, s) : Ro <" Ro xR u<k,o) 
30 i <- i - s 

Retourner R 0 

Algorithme 6 
("Square and Multiply" protege, 3 dme version) 
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L' utilisation d'une matrice est une methode tres 
gengrale, beaucoup plus generale que les relations 
empiriques utilisees dans les exemples 1 a 5 pour 
5 expliciter les liens entre les differents indices 
utilises . 

L 1 expression des liens entre les indices sous la 
forme d'une matrice a plusieurs entrees presente 
l'avantage d'etre beaucoup plus simple a mettre en ceuvre 
10 et siirtout d'etre exploitable pour tous les algorithmes 
crypt ographi que s connus, y compris les plus complexes > 
comme on va le voir dans quelques exemples d' algorithmes 
de calcul cryptographique sur courbes elliptiques 
(exemples 8 et 9) . 

15 

Exemple 7 

On considere k nouveau ici l'algorithme (M, M3) et 
son tableau de decomposition : 





k 


s 


n 0 


(Di = 


0) 






y0 * 


: R 0 


< - 


R 0 xR 0 i 


i 


<- 


i-1 


0 


1 


ri! 


(Di = 


1) et 


(Di-x 


= 0) 


yl 


: R 0 


< - 


RoxRo * 


• i 


<- 


i-0 


1 


0 












y2 


: Ro 


< - 


R 0 xRi , 


• i 


<- 


i-1 


2 


1 


n 2 


(Di = 


1) et 


(Di-x 


= 1) 


y3 


: R 0 


< - 


R 0 xR 0 i 


? i 


< - 


i-0 


3 


0 












y4 


: R 0 


< - 


RoxRo i 


; i 


< - 


i-0 


4 


0 












y5 


: R 0 


< - 


R 0 xR 2 


? i 


< - 


i-2 


5 


1 



20 tableau 7 = tableau 4 

on d#duit ais^ment la matrice 

'0 1 1> 
0 0 0 

111 

0 0 0 
0 0 0 

,2 2 1, 



Du tableau 1, 
suivante : 



(U(k, l))>£k£5 
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une expression possible d'un bloc elementaire 
commun y(k) : 

y(k) = [R 0 <- RoxRu(k,o) ; i <- i - Ru(k,l)l 

et un algorithme protege utilisant le bloc 
5 elementaire commun y(k) : 

Initialisation : 

R 0 <- 1 ; Ri <- A ; R 2 <- A 3 ; 
i<-M-l;s<rl. 
10 Tant que i > 0, repeter le bloc commun T(k, s) : 

k <- (/s)x(k+l) + sx(Di + 2x(/Di ET Di-i) ) ; 
s <- U(k,2) 

y(k # s) : R 0 <- Ro><Ru<k,0) ' 
i <- i - U(k # l) 

15 Retourner R 0 . 

Algorithme 7 
(algorithme (M, M 3 ) protege, 3 6me version) 

Exemple 8 

20 On considere un algorithme de calcul 

cryptographique sur une courbe elliptique E non super 
singuliere definie sur un corps binaire <F 2 q par 
1" equation de Weierstrass suivante : 

E/fF 2 q : Y 2 + XxY = X 3 + axX 2 + b (EQ d) 

25 ou X, Y sont les coordonnSes af fines d f un point P 

de la courbe E. 

Les operations de base d f un algorithme 
cryptographique sur courbes elliptiques sont les 
operations de doublement de points et les operations 
30 d 1 addition de deux points distincts. 

L 1 operation de doublement d'un point est definie 

par : 

P3(X3, Y3) = 2xPl(Xl, Yl) avec 
X3 « a + X 2 + X 
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Y3 = (Xl+X3)xA. + X3 + Yl 
et X = XI + (Yl/Xl) 

li ' operation d' addition de deux points distincts est 
5 definie par : 

P(X3, Y3) = PI (XI, Yl) + P2(X2, Y2) 
X3 = a + X 2 + X + XI + X2 
Y3 = (XI + X3)x\ + X3 + Yl 
et X = (Yl + Y2) / (XI + X2) 
10 Dans le tableau 8, on a d£compos£ 1' operation de 

doublement de points et 1' operation d' addition de deux 
points distincts sous la forme chacune d'un bloc 
elementaire y0, yl equivalents (les memes operations sont 
utilisees, gventuellement sur des registres differents) : 





k 


s 


yO : 


Rl 


< - 


Ri 


+ R 3 


; R 2 


<- R2 


+ R4 


; Rs 


<- R2 


/ Ri ; 


0 


l 




Ri 




Ri 


+ R5 


; R6 


<- R 5 


2 . 














R 6 


< - 


Rs 


+a ; 


Ri < 


- Ri + 


R6 ; 


R2 < 


- Ri + 


R4 ; 








Re 


< - 


Ri 


+ R3 


; Rs 


<- R 5 


x R6 


; R2 


<- R2 


+ Rs 






yl : 


Re 


< - 


Ri 


+ R 3 


; R6 


<- Re 


+ R 3 


; Rs 


<- R2 


/ Ri ; 


1 


l 




R 5 




Ri 


+ Rs 


; Ri 


<- R 5 


2 . 
1 














Ri 


< - 


Ri 


+a ; 


Ri < 


- Ri + 


R5 ; 


R2 < 


- Ri + 


R 2 ; 








Rs 


< - 


Ri 


+ R6 


; Rs 


<- R 5 


x R 6 


; R2 


<- R2 


+ R 5 







tableau 8 



Du tableau 8, on deduit la matrice suivante : 

fl 2 4 1 6 6 4 3^ 
«*- U *SJi 6 3 5 1 5 2 e) 

20 La matrice comprend seulement deux lignes puisque 

seuls deux blocs 61ementaires differents sont utilises. 
La matrice comprend 8 colonnes, chacune associee a un 
indice de registre variant d ! une ligne a l f autre. La 
colonne 0 est ainsi associee a 1 1 indice du registre (Rl 

25 ou R6) dans lequel on memorise le resultat de la l 6re 
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operation (Rl + R3) , la colonne 1 est associee a 1 1 indice 
du registre (R2 ou R6) dans lequel on memorise le 
r£sultat de la 2 6me operation (R 2 + R 4 ou R 6 + R3) / les 
colonnes 1 et 2 sont associees aux registres dont on 
5 additionne le contenu au cours de la 2 $me operation 

(R 2 + R4 ou R 6 + R3) / etc. 

La matrice est a utiliser avec le bloc 61ementaire 

commun suivant : 

10 y(k) : Ru(k,o) <- Rl + R 3 ; Rude,!) <- R u(k,i) + Ru(k,2); 

R5 <- R 2 / Ri ; R u(k,3) <- Ri + R 5 ; 
Ru(k,4) <- R5 2 ; 

Ru(k,4) <" RU(k,4) +a ' R l <" R l + R U(k,5) ; 
R 2 <- Rl + Ru(k # 6) 9 R 6 <- R l + R U(k,7) ; 
15 R5 <- R5 ■ R^ ; R2 <- R2 + R5 

pour r^aliser un algorithme protege utilisant le 
bloc commun T(k) dans une boucle de type "repeter tant 
que" et realisant une operation complexe utilisant des 
20 operations de base (doublement de points et / ou addition 
de points) 

Initialisation 

Rl <- Xi ; R2 <- Yi ; 

R 3 <- Xi ; R 4 <- Yi ; 
25 i <- m-2 ; s <- 1 ; k <- 0; 

Tant que i £ 0, repeter r(k, s) : 

y(k) 

s <- k - Di + 1 
k <- (k+1) x (/s); 

30 i <- i - s ; 

Retourner (Rl, R2) 

Algorithme 8 
(algorithme sur courbe elliptique protege) 

35 
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REVINDICATIONS 

1. Proced6 de calcul cryptographique caracterise 
en ce que, pour executer un bloc d 1 instructions choisi 
(Ilj) en fonction d'une variable d' entree (Di) parmi N 
blocs d' instructions predefinis (III, n N ) , on execute 

5 un nombre prgdefini (Lj) de fois un bloc commun (r(k,s)) 
aux N blocs d' instructions predefinis (Tlx, n N ) , le 

nombre predefini (Lj) etant associ6 au "bloc d * instructions 
choisi (Ilj) . 

10 2. Procede selon la revendication 1, dans lequel 

le nombre predefini (Lj) est variable d'un bloc 
d 1 instructions pr£d6fini (Tl lt n N ) a I 1 autre. 

3. Procede selon l'une des revendications 1 a 2, 
15 dans lequel le bloc commun (r(k,s)) comprend au moins une 
instruction (yk) de calcul equivalents vis-a-vis d'une 
attaque a canal cache a une instruction de calcul de 
chaque bloc predefini (IIi, I1 N ) . 

20 4. Procede selon la revendication 3, dans lequel 

le bloc commun (r(k,s)) comprend egalement une 
instruction de mise k jour d'un pointeur de boucle (k) 
indiquant un nombre d 1 executions deja executees du bloc 
^lementaire commun (r(k,s)). 

25 

5. Procede selon la revendication 3 ou la 
revendication 4, dans lequel le bloc commun (T(k,s)) 
comprend egalement une instruction de mise a jour d'un 
pointeur d'etat (s) indiquant si le nombre predefini (Lj) 

30 a ete atteint. 

6. Procede selon la revendication 4 ou la 
revendication 5, dans lequel la valeur du pointeur de 
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boucle (k) et / ou la valeur du pointeur d'etat (s) sont 
fonction de la valeur de la variable d'entree (Di) et / ou 
du nombre d ' instructions du bloc d 1 instructions (Pj) 
associe a la valeur de donnee d'entree. 

5 

7. Procede selon l'une des revendications 1 a 6, 
dans lequel, pour realiser success ivement plusieurs blocs 
d' instructions choisis parmi les N blocs d 1 instructions 
pr€definis (n t , n N ) , chaque bloc d' instruction choisi 

10 (Ilj) etant * selectionne en fonction d'une variable 
d'entree (Di) associee Sl un indice d ' entree (i) , 

on execute un nombre total (Lr) de fois le bloc 
elementaire commun (r(k r s)) f le nombre total (Lr) 6tant 
egal a une somme des nombres pred^finis (Lj) associ^s a 

15 chaque bloc d 1 instructions choisi (Elj) . 

8. Procede selon la revendication 1, au cours 
duquel un meme bloc d 1 instructions peut etre choisi 
plusieurs fois selon la variable d'entree associee a 

20 l 1 indice d'entree (i) . 

9. Procede selon I 1 une des revendications 7 ou 8, 
dans lequel la valeur du pointeur de boucle (k) et / ou 
la valeur du pointeur d'etat (s) et / ou la valeur de la 

25 variable d'entree (Di) et / ou le nombre d' instructions du 
bloc d' instructions (Ilj) associe a la valeur de la donnee 
d'entree (Di) sont liees par une ou des fonctions 
mathematiques . 

30 10. Proced£ selon la revendication 9, utilise dans 

la mise en oeuvre d'un calcul d' exponentiation de type 
B = A D t D etant un nombre entier de M bits, chaque bit 
(Di) de D correspondant h une variable d'entree d' indice 
d'entree i, le procede comprenant les etapes suivantes : 

35 Initialisation : 

R 0 <- 1 ; Ri <- A ; i <- M-l 
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Tant que i > 0, repeter le bloc commun T(k, s) : 
k <- (/s)x(k+l) + sx2x(/Di) 
s <- (k mod 2) + (k div 2) 
y(k,s)- : R 0 <- RoxRk mod 2 
5 i <- i - s 

Retourner Ro- 
ll. Procede selon la revendication 9, utilise dans 
la mise en oeuvre d'un calcul d' exponentiation de type 
10 B = A D , D etant un nombre entier de M bits, chaque bit 
(Di) de D correspondant a une variable d 1 entree d'indice 
d' entree i, le procede comprenant les etapes suivantes : 
Initialisation : 

Ro <- 1 ; Ri <- A ; i <- M-l; k <- 1 
15 Tant que i £ 0, r§peter le bloc commun I*' (k,s) : 

k <- (Di) ET (/k) 
y 1 (s, k) : R 0 <- RoxRk 

i <- i - (/k) 
Retourner R 0 . 

20 

12. Procede selon la revendication 9, utilise dans 
la mise en oeuvre d'un calcul d 1 exponentiation de type 
B = A D , D etant un nombre entier de M bits, chaque bit 
(Di) de D correspondant a une variable d' entree d'indice 

25 d' entree i, le proc6d£ comprenant les Stapes suivantes : 
Initialisation : 

R 0 <- 1 ; Ri <- A ; i <- 0 ; k <- 1 
Tant que i < M-l, repeter le bloc T(k, s) : 
k <- k ©Di 
30 Y(k) : R k <- RkXRi 

i <- i+k 

Retourner R 0 . 

13. Procede selon la revendication 9, utilise dans 
35 la mise en oeuvre d'un calcul d 1 exponentiation de type 

B = A D , D etant un nombre entier de M bits, chaque bit 
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(Di) de D correspondant & une variable d' entree d'indice 
d f entree i, le procede comprenant les etapes suivantes : 
Initialisation : 

R 0 <- 1 ; Ri <- A ; R 2 <- A 3 ; 
5 D_! <-0;i<-M-l;S<-l 

Tant que i > 0, repeter le bloc T(k, s) : 

k <- (/s)x(k+l) + sx(Di + 2x(Di ET Di- X ) ) 
s <- /((k mod 2) © (k div 4)) 
y(k,s) : R 0 <- Ro*Rsx(k 'div 2) 
10 i <- i - sx(k mod 2 + 1) 

Retourner R 0 . 

14. Procede selon la revendication 9, utilise dans 
la mise en oeuvre d f un calcul d 1 exponentiation de type 
B = A D # D 6tant un nombre entier de M bits, chaque bit 
(Di) de D correspondant a une variable d 1 entree d'indice 
d* entree i, le procede comprenant les etapes suivantes : 

Initialisation : 

R 0 <- 1 ; Ri <- A ; R 2 <- A 3 ; 
D-i <- 0 ; i <- M-l ; s <- 1 
Tant que i > 0, repeter : 

k <- (/s)x(k+l) 

s <- s © Di © ((Di_i ET (k mod 2)) 

T(k,s) : R 0 <- RoxRkxs 

i <- i - kxs - (/Di) 

Retourner R 0 . 

15. Procede selon l'une des revendications 7 ou 8, 
dans lequel les liens entre la valeur du pointeur de 

30 boucle (k) et / ou la valeur du pointeur d'etat (s) et / 
ou la valeur de la variable d 1 entree (Di) et / ou le 
nombre d 1 instructions du bloc d 1 instructions (llj) associe 
a la valeur de la donn€e d 1 entree (Di) sont definis par 
une table a plusieurs entries telle qu'une matrice 

35 (U(k,l)). 



15 



20 



25 
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la 



16. Proced6 selon la revendication 15, utilise dans 
mise en oeuvre d'un calcul d' exponentiation de type 



B = A D , D etant un nombre entier de M bits, chaque bit 
(Di) de D correspondant a une variable d 1 entree d'indice 
5 d 1 entree i, le procede cotnprenant l'etape suivante : 
Tant que i > 0, repeter le bloc T(k, s) : 
k <- (/s)x(k+l) + s x 2x (/Di) ;. 

s <- u(k,i) 

y(k, s) : Ro <" . R 0 xR u<k.o> 
10 i <- i - s 

oil (U(k,l)) est la matrice suivante : 



(U(k, 1)>^2 = 
v ^o<l^i 



0 0 

1 1 
0 1 



17. Procede selon la revendication 15, utilise dans 
15 la mise en oeuvre d'un calcul d' exponentiation de type 
B = A D selon 1 1 algorithme (M, M 3 ) , D etant un nombre 
entier de M bits, chaque bit (Di) de D correspondant a une 
variable d* entree d'indice d 1 entree i, le procede 
comprenant 1 * etape suivante : 
20 Tant que i £ 0, r6p6ter le bloc commun T(k, s) : 

k <- (/s) x (k+1) +sx (Di + 2x(Di ET D^x) ) 
s <- U(k,2) 

y(k,s) : R 0 <- R<>xRu(k,o) ; 

i <- i - U(k,l) 
25 oil (U(k,l)) est la matrice suivante : 



(UOc, l))Pg|5 



'0 
0 

1 

0 
0 
2 



1 
0 

1 

0 
0 
2 



i\ 

0 

1 

0 
0 
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18. Procede selon la revendication 15, utilise dans 
la mise en oeuvre d'un calcul sur une courbe elliptique en 
coordonnees affines, calcul utilisant des operations de 
5 type addition ou doublement de points, et dans lequel on 
realise l'etape suivante : 

Tant que i > 0, repeter T(k, s) : 
y(k) : Ru(k,o) <- Ri + R 3 ; 

Ru(k.i) <- Ru(k,i) + Ru(k,2); 
10 R5 <- R2 / Ri ; Ru(k,3) <- R i + R s ; 

Ru(k,4) <- Rs 2 ; 
Ru(k,4) <- Ru(k,4) +a ; 
Ri <- Ri + Ru(k,5) ; 

r 2 <- Ri + Ru(k,6) ; R6 <- Ri + 
15 Ru(k,7) ; 

R 5 <- R 5 . R6 ; R 2 <- R2 + R5 
S <- k - Di + 1 

k <- (k+1) x (/s); 
i <- i - s ; 
20 ou (U(k,D) est la matrice suivante : 



(l 2 4 1 6 6 4 3] 
«*-^Sg. = 1* 6 3 5 1 5 2 6 J 



19. Proc£de d'obtention d'un bloc £16mentaire 
commun (r(k ff s)) a N blocs d 1 instructions (Tl Xt n N ) 

25 predefinis, procede susceptible d'etre utilise pour la 
mise en ceuvre d'un procede de calcul cryptographique 
selon l'une des revendications 1 & 12, le procede etant 
caracterise en ce qu f il comprend les Stapes suivantes : 

El : decomposition de chaque bloc d' instructions 

30 predefini (TL lt n N ) en une suite de blocs elementaires 

(y) equivalents vis-a-vis d'une attaque a canal cache, et 
classement de 1' ensemble des blocs elementaires, 
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E2 : recherche d'un bloc elementaire commun (y(k,s)) 
equivalents a tous les blocs el^mentaires (y) de tous les 
blocs d 1 instructions pr^definis, 

E3 : recherche d'un bloc commun (r(k,s)) comprenant 
5 au moins le bloc elementaire commun (y(k,s) precedemment 
obtenu et une instruction de mise a jour d'un pointeur de 
boucle (k) tel que une execution du bloc elementaire 
commun associee a la valeur du pointeur de boucle (k) et 
une execution du bloc Elementaire de rang ^al a la 
10 valeur du pointeur de boucle (k) soient identiques. 

20. Proc£de selon la revendication 19, caract^rise 
en ce que au cours de l'etape El, on ajoute au moins une 
instruction f ictive a au moins un bloc d ' instructions 
15 pr£def ini . 
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